我已经使用 ssh 阻止了以 root 身份登录,所以我知道任何尝试这样做都是恶意的。我知道他们不会成功(sshd 不允许),但我还是想立即禁止有问题的 IP。我该怎么做?
我正在运行 Gentoo Linux,并且已经运行了 fail2ban。我不想因为一次失败的日志记录尝试而禁止所有人,所以简单地将 fail2ban 尝试设置为 1 不是一种选择。Root 是我希望立即应用此禁令的唯一帐户。
我设置了两个不同的 Fail2Ban 规则:
如果他们尝试使用无效的用户名,他们将在第一次尝试时被永久禁止。我没有多少人以这种方式进入,也没有人以这种方式被禁止;但是如果你有很多人登录,这可能是一个支持问题。root 在我的系统上不是有效的 ssh 登录。
我在 FreeBSD 系统上,因此您可能需要稍微修改此规则。在 filter.d 目录下创建一个 ssh-invaliduser.local 文件:
failregex = ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
在jail.local文件中照常设置此规则的选项。
第二条规则会在 10 分钟内锁定密码错误 10 次的尝试。没有人会以每分钟 1 个密码的平均速度闯入。
| 归档时间: |
|
| 查看次数: |
2827 次 |
| 最近记录: |